蓝屏死机(BSOD)分析需先启用内存转储,再用WinDbg Preview或BlueScreenView定位故障驱动,核查驱动签名与版本,必要时用LiveKD捕获实时内核转储。
如果您在 Windows 11 中遭遇蓝屏死机(BSOD),系统通常会生成内存转储文件(如 MEMORY.DMP 或小型转储 Minidump),这些文件记录了崩溃发生时的内核状态、驱动堆栈与异常线程信息。分析 dump 文件是定位根本原因的关键手段。以下是具体操作步骤:
一、启用并确认转储文件生成设置
若系统未保存 dump 文件,后续分析将无法进行。需确保 Windows 已配置为生成有效转储数据。
1、右键“此电脑”选择“属性”,点击“高级系统设置”。
2、在“启动和故障恢复”区域点击“设置”。
3、在“写入调试信息”下拉菜单中,选择小内存转储(256 KB)或内核内存转储;确保“转储文件”路径为默认的 %SystemRoot%\MEMORY.DMP(内核转储)或 %SystemRoot%\Minidump\(小型转储)。
4、取消勾选“自动重新启动”,避免蓝屏后立即重启导致无法记录错误代码。
二、使用WinDbg Preview分析小型转储文件
WinDbg Preview 是微软官方免费工具,支持符号自动下载与直观堆栈解析,适合非专业用户快速识别故障驱动。
1、从 Microsoft Store 安装 WinDbg Preview(搜索“WinDbg Preview”并获取官方版本)。
2、打开软件,点击“文件” > “启动调试” > “转储文件”,浏览并加载 C:\Windows\Minidump\*.dmp 中最新日期的 .dmp 文件。
3、等待符号加载完成(底部状态栏显示“Symbols loaded”),在命令窗口输入 !analyze -v 并回车。
4、查看输出中FAILURE_BUCKET_ID 和 IMAGE_NAME 字段:前者指示错误类型与驱动模块组合(如 “nvlddmkm.sys+0x1a2b3c”),后者明确指向嫌疑驱动文件名。
三、使用BlueScreenView辅助可视化排查
BlueScreenView 提供图形化界面,可并排对比多次蓝屏的驱动堆栈,快速发现高频出错模块,无需手动解析命令行。
1、从 NirSoft 官网下载 BlueScreenView(免安装绿色版)。
2、以管理员身份运行程序,它将自动扫描 C:\Windows\Minidump\ 下所有 .dmp 文件。
3、在主窗口中,红色高亮的驱动文件名(如 atikmdag.sys、nvlddmkm.sys、dxgmms2.sys)即为最可能引发蓝屏的组件。
4、双击该行,在底部面板查看其加载地址与偏移量,结合错误代码(如 VIDEO_TDR_FAILURE)交叉验证硬件层级问题。
四、提取并比对驱动版本与数字签名
确认嫌疑驱动是否为过期、篡改或未签名版本,是判断是否需更新或卸载的核心依据。
1、在 WinDbg Preview 的 !analyze -v 输出中,找到 MODULE_NAME 对应的驱动(如 nvlddmkm.sys)。
2、打开文件资源管理器,导航至 C:\Windows\System32\drivers\,右键该驱动文件 > “属性” > “详细信息”选项卡。
3、记录 文件版本号(如 31.0.15.5582)与 签名发布者(必须为 NVIDIA Corporation、Advanced Micro Devices, Inc. 或 Intel Corporation)。
4、若签名显示为“无法验证”或发布者为未知第三方,该驱动必须被彻底卸载并替换为官网 WHQL 认证版本。
五、使用LiveKD实时捕获内核转储(进阶)
当蓝屏瞬时发生且无法稳定复现时,LiveKD 可在系统运行状态下直接抓取当前内核快照,绕过重启丢失上下文的问题。
1、从 Sysinternals 官网下载 LiveKD 工具包,解压后以管理员身份运行 livekd64.exe。
2、确认提示“Live kernel debugging session started”后,执行命令:.dump /f C:\livekernel.dmp。
3、该命令将生成一个完整内核映像文件,可直接用 WinDbg Preview 加载分析,适用于诊断偶发性、无规律蓝屏。
4、注意:LiveKD 需要系统已启用内核调试模式,首次运行时会自动配置,重启后生效。
